"Zhakowałem tę skrzynkę e-mail". Pomysł na szantaż, wykorzystujący słabości interfejsów

Strona główna Aktualności
(fot. Shutterstock.com)
(fot. Shutterstock.com)

O autorze

"Właśnie otrzymałem maila od niby jakiegoś hakera, którego nadawcą jestem rzekomo ja, a dokładnie moja skrzynka mailowa" – napisał we wiadomości do redakcji jeden z czytelników, podpisujący się jako Janek. Ale czy przestępca naprawdę włamał się na jego pocztę czy może jedynie dobrze udaje? Odpowiedź brzmi: to drugie.

Samo założenie ataku jest stare jak świat. Napastnik twierdzi, że dysponuje kompromitującymi Janka materiałami, których nie ujawni o ile ten przekaże okup na portfel bitcoin.

Stosuje jednak niecodzienną metodę uwiarygodnienia się, twierdząc, że maila z żądaniem okupu wysłał wprost z adresu pocztowego Janka. Ten ostatni korzysta z poczty na Interii i rzeczywiście widzi swój adres w polu nadawcy. To daje do myślenia.

Na całe szczęście wcale nie oznacza, że Janek padł ofiarą ataku. W nagłówkach maili są dwa pola FROM, definiujące nadawcę. Jeden dla protokołu, drugi zaś – klienta.

W ten sposób przestępca może wysłać maila z dowolnego serwera, podpisując się innym, równie dowolnym adresem. Większość programów pocztowych czytelnie wskazuje obydwa adresy, ale akurat Interia z jakiegoś powodu wyświetla wyłącznie pole klienta, co w tym przypadku pozwoliło zasiać u czytelnika nieco paniki. Bezpodstawnie oczywiście.

Skąd pochodzi żądanie okupu?

Zasadniczo rzecz ujmując, może pochodzić zewsząd – z dowolnej skrzynki. Do Janka, jak wynika z nagłówka wiadomości, wysłano je poprzez sender PHP z irlandzkiej domeny. Nie jest to jakikolwiek dowód na rzekome zhakowanie należącej do niego skrzynki na Interii.

Received: from fmx44.pf.interia.pl (localhost [127.0.0.1])by fmx44.pf.interia.pl (Postfix) with ESMTP id 2A6866EFEDfor <xxx@interia.eu>; Thu,  3 Oct 2019 12:40:36 +0200 (CEST)
Received: from ancheta.0j0x.vip (ancheta.0j0x.vip [185.24.233.77])(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))(No client certificate requested)by fmx44.pf.interia.pl (Postfix) with ESMTPSfor <xxx@interia.eu>; Thu,  3 Oct 2019 12:40:33 +0200 (CEST)
Received: by ancheta.0j0x.vip (Postfix, from userid 10000)id EB2AA84CB; Thu,  3 Oct 2019 13:39:46 +0300 (+03)
X-Envelope-From: <ooppsss@0j0x.vip>
To: xxx@interia.eu
Subject: Wa&#380;ne: xxx@interia.eu adres e-mail zosta&#322; zhakowany.
X-PHP-Originating-Script: 10000:c.php
From: xxx@interia.eu <xxx@interia.eu>
Message-Id: <20191003103946.EB2AA84CB@ancheta.0j0x.vip>
Date: Thu,  3 Oct 2019 13:39:46 +0300 (+03)
X-IPL-Priority-Group: 0-0
X-IPL-VerifiedSender: ooppsss@0j0x.vip
X-IPL-SAS-SPAS2: -2.9000
X-Interia-Antivirus: OK
X-IPL-SAS-IP: 185.24.233.77
X-IPL-SAS-ZERO: 11
X-IPL-SAS-UREP: -6
X-IPL-SAS-UREP-PRIV: 0
X-IPL-SAS: -3.1
X-IPL-Envelope-To: xxx@interia.eu
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable

Zapłaciłem. Co teraz mogę zrobić?

W tym przypadku portfel przestępcy jest pusty, ale zapewne adres poszedł do tysięcy osób i ktoś może jednak zapłacić. W takich przypadkach nie bez kozery wykorzystywane są kryptowaluty. Sieć transakcyjna blockchain gwarantuje pełną anonimowość – jest zdecentralizowana i rozproszona. Nie ma żadnych szans, aby ewentualny przekaz odzyskać.

© dobreprogramy